Betrug mit Punktesammeln

Supermarkt-Apps sind praktisch und beliebt – doch fremde Logins können Bonuspunkte kosten. Wie das geht, und wie Sie sich schützen können, erfahren Sie hier.

Lesezeit:
6 min
Betrug mit Punktesammeln

Punkte sammeln und Schnäppchen machen - mit Supermarkt-Apps versuchen Supermärkte die Treue und die Kauflaune Ihrer Kunden zu steigern. Doch Betrüger können sich diese Sammelleidenschaft zu Nutze machen. Wir zeigen, wie Verbraucher sich schützen können.

Punkte sammeln - Schnäppchen machen

Viele Supermärkte setzten auf eigene Apps, um Bonuspunkte und Rabatte digital zu verwalten. Das funktioniert folgendermaßen: Wer bestimmte, ausgewiesene Produkte kauft, bekommt dafür Bonus-Guthaben, das ab dem nächsten Einkauf eingelöst werden kann. Und bei jedem Kauf von ausgewiesenen Produkten steigt das Guthaben weiter an. Bei besonders großen Einkäufen, gibt es außerdem Rabatte, z.B. einige Prozente beim nächsten Einkauf.

Das Problem: Punkteklau durch App-Übernahme

Doch gerade diese Punkte machen Supermarkt-Apps für Betrüger attraktiv. Denn diese Punkte lassen sich stehlen - und das sogar ganz ohne Handy-Diebstahl. Denn: Die meisten Apps benötigen zur Nutzung einen Account – typischerweise mit E-Mail-Adresse und Passwort. Werden diese Zugangsdaten missbräuchlich verwendet, können sich Unbefugte Zugriff auf den Account und die gesammelten Punkte verschaffen.

So geschehen in jüngster Zeit bei der Kundenapp eines großen deutschen Einzelhänlders. Hier mussten einige Kunden die unangenehme Erfahrung machen, dass Ihre Treuepunkte ohne ihr Zutun eingelöst wurden. Die WDR-Sendung Markt, aber auch der Bayrische Rundfunk, Heise und die Bild berichteten über das Phänomen.

Da man bei dieser Art von Betrug, die gesammelten Punkte im wesentlichen direkt in Bargeld umtauschen kann, handelt es sich hier um besonders einfach abzugreifende Früchte.

An jeder App hängt ein Account

Aber wie kann das funktionieren? Wie bei fast allen Apps muss man auch bei den Supermarkt-Apps einen Account anlegen, um sie nutzen zu können. D.h. der Nutzer muss sich wenigstens einmal mit einer Kombination aus E-Mail-Adresse und Passwort registrieren. Kommt ein Krimineller an diese Daten, kann er sich ohne großen Aufwand, und sogar von zu Hause, bei der entsprechenden App einloggen. In diesem Fall hat diese Person vollständigen Zugriff auf Punkte und Rabattaktionen des entsprechenden Kunden.

Viele Apps, viele Accounts, wenige Zugangsdaten

Viele Verbraucher nutzen viele verschiedene Apps und haben darüber hinaus auch etliche andere Online-Accounts - merken sich aber nur wenige Passwörter. Das hat zur Folge, dass sehr viele Accounts durch sehr wenige Kombinationen aus E-Mail-Adresse und Passwörter geschützt sind. Dieses Verhalten nennt man Passwort-Wiederverwertung, oder auch auf Englisch password-reuse.

Accountübernahmen durch gestohlene Passwörter

Wenn nun eine dieser Kombinationen aus E-Mail-Adresse und Passwort veröffentlicht wird (beispielsweise durch einen Phishing-Angriff oder durch ein Datenleck bei einem der Dienste), können die bekanntgewordenen Zugangsdaten bei allen möglichen Diensten ausprobiert werden - beispielsweise auch bei einer Supermarkt-App. Dieses Vorgehen nennt sich auch Credential Stuffing. Ist das Vorhaben von Erfolg gekrönt, hat man in der Regel den vollen Zugriff auf die entsprechenden Daten und alle Möglichkeiten, welche die App dem Nutzer bietet. Genau das ist ist jüngster Zeit den Nutzern der Kunden App eines großen deutschen Einzelhändlers passiert.

Dabei handelt sich aber nicht nur um ein deutschen Phänomen: Im Vereinigten Königreich sind Treuepunkte eines großen britischen Treuepunkteanbieters gestohlen worden. Die Financial Times aber auch die Sun berichteten. In den USA ging der Treuepunkteklau im Bezug auf bestimmte Treuepunkteanbieter sogar so weit, dass sich die Federal Trade Commision (in etwa “Bundeshandelskammer”) eingeschaltet und besondere Sicherheitsmaßnahmen sowie die volle Punkterückgabe im Betrugsfall angeordnet hat. Im angelsächsichen Raum spricht man in diesem Zusammenhang übrigens auch griffig von “rewards fraud”.

Wichtig: Die betroffenen Apps selbst wurden nicht gehackt. Die Angreifer nutzten einfach bereits bekannte Zugangsdaten aus anderen Quellen.

Wie kann ich mich schützen

Eine Möglichkeit für Endverbraucher, sich vor App- und Accountübernahmen zu schützen besteht darin, regelmäßig zu überprüfen, ob eigene E-Mail-Adressen und Passwörter in Datenleaks vorkommen. Wir empfehlen dazu den Leak Inspector. Den Funktionsumfang des Leak Inspectors haben wir bereits in einem eigenen Blogartikel beschrieben.

Um den Leak Inspector zu betreiben, spüren gestohlene Datensätze im Netz auf. Wir durchsuchen dazu das Deep- und Darknet, sammeln dort Daten, bereiten sie datenschutzkonform wieder auf und stellen sie Verbrauchern und betroffenen Unternehmen wieder zur Verfügung. Dabei haben wir bereits mehr als 55 Milliarden Datensätze gesammelt und jede Woche kommen 300 Millionen neue dazu.

Darüberhinaus kann man bei einigen Apps auch eine Zwei-Faktor-Authentifizierung einrichten. Ist das geschehen, benötigt man einen zweiten Faktor, wie z.B. einen Code, der einem per SMS, per Mail, oder durch eine spezielle App zugespielt wird, um sich bei dem entsprechenden Dienst anzumelden. Das Problem hierbei ist aber: Zwei-Faktor-Authentifizierungen sind aufwendig und stellen eine zusätzliche Hürde bei der Benutzung der App dar.

Ansonsten sollte man regelmäßig seine Apps auf ungewöhnliche Aktivitäten überprüfen. Allerdings muss angemerkt werden, dass es in diesem Fall schon zu spät sein könnte. Aber spätestens hier gilt: unbedingt das Passwort wechseln!

Tipps zum Schutz vor Betrug in Supermarkt-Apps

<div><ul>

  • Leak Inspector: Regelmäßig den Leak-Inspector nutzen, um zu prüfen, ob die eigene Mailadresse bereits betroffen ist.

  • Zwei-Faktor: Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich.

  • Passwortwiederverwendung vermeiden: Verschiedene Anwendungen verschiedene Passwörter nutzen – nie dasselbe wie bei E-Mail oder sozialen Netzwerken.

  • Die App prüfen: Unregelämäßigkeiten in der App prüfen.

    • Wie kann der App-Betreiber mich schützen?

    Aber wäre es für den App-Nutzer nicht viel einfacher, wenn der App-Betreiber sicherstellen könnte, dass die eigenen Zugangsdaten sicher sind? Identeco bietet genau dafür entsprechende Produkte an. Tatsächlich setzt PAYBACK, der Branchenführer im Bereich der Treuepunktesysteme, seit einigen Jahren erfolgreich auf diese Lösungen.

    Wie weiter oben angedeutet, sind bestimmte Treuepunkteanbieter sind in den USA sogar verpflichtet ähnliche Sicherheitsmaßnahmen zu etablieren.

    Vollautomatisierter Schutz von App-Nutzern

    Um unter anderem die Treuepunkte der PAYBACK Nutzer zu schützen, verwenden wir dieselbe Datenbasis, die auch hinter unserem Leak Inspector steht, also über 55 Milliarden geleakte Zugangsdaten. Diese Daten nutzen wir, um vollautomatisiert Verbraucher von Apps, wie z.B. Treuepunkteprogrammen, vor App-Übernahmen zu schützen. Dabei übermitteln wir anonymisierte Daten an unsere Kunden und ermöglichen den Abgleich von Zugangsdaten in der Infrastruktur unserer Kunden. Dazu ist keinerlei Austausch von Nutzerdaten notwendig.

    Hinter jeder App steckt eine Beziehung

    Gerade Treuepunkte-Apps stehen sinnbildlich für die Beziehung des Einzelhändlers zu seinen Kunden. Insbesondere diese Apps und die dahinterliegenden Accounts sollten daher besondere Pflege und Schutz genießen. Mit den Identeco Lösungen gehören wenigstens Account-Übernahmen durch geleakte Zugangsdaten der Vergangenheit an.

    Fazit

    Supermarkt-Apps bieten durch Bonuspunkte und Rabatte einen echten Mehrwert für Kundinnen und Kunden – gleichzeitig öffnen sie aber auch eine neue Einfallstür für Betrüger. Die Gefahr: Wer schwache oder wiederverwendete Passwörter nutzt, riskiert, dass Angreifer über gestohlene Zugangsdaten Zugriff auf persönliche Treuepunkte erhalten.

    Verbraucher können sich schützen, indem sie starke, einzigartige Passwörter verwenden, Zwei-Faktor-Authentifizierung aktivieren und regelmäßig Dienste wie den Leak Inspector nutzen. Noch besser ist es, wenn auch App-Betreiber Verantwortung übernehmen und kompromittierte Zugangsdaten automatisch erkennen und blockieren – wie es beispielsweise PAYBACK mithilfe von Identeco bereits erfolgreich tut.

    Treueprogramme sollen Kundenbindung stärken – nicht das Vertrauen gefährden. Damit das gelingt, braucht es technische Schutzmaßnahmen auf beiden Seiten: bei den Nutzern und den Plattformen selbst.

    Noch Fragen?

    Wenn Sie mehr darüber wissen möchten, wie wir Nutzer-Accounts absichern können, stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns einfach über unser Kontaktformular, buchen Sie direkt einen Termin oder schreiben Sie uns eine E-Mail.

    Experten kontaktieren

    Sie haben weitere Fragen zum Thema oder benötigen konkrete Hilfe? Schreiben Sie uns eine Nachricht oder vereinbaren Sie direkt einen Termin für ein Gespräch.

    Kontakt Gespräch vereinbaren

    Weiterlesen

    Zum Blog